近日，交通運(yùn)輸部公布了《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》（交通運(yùn)輸部令2023年第20號(hào)，下稱《辦法》）。《辦法》共6章30條，自2024年2月1日起施行?！掇k法》從總體上明確了鐵路關(guān)鍵信息基礎(chǔ)設(shè)施（下稱關(guān)基設(shè)施）管理體制，壓實(shí)了運(yùn)營(yíng)者主體責(zé)任，加強(qiáng)了鐵路關(guān)基設(shè)施的監(jiān)督管理和保障。

為全面貫徹落實(shí)黨中央、國(guó)務(wù)院關(guān)于加強(qiáng)關(guān)基設(shè)施安全保護(hù)的決策部署，細(xì)化落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定，交通運(yùn)輸部制定本《辦法》，以全面保障鐵路關(guān)基設(shè)施的安全運(yùn)行。

相較征求意見(jiàn)稿，正文第七條、第八條增加將鐵路關(guān)基設(shè)施認(rèn)定結(jié)果抄送國(guó)家網(wǎng)信部門，第九條增加鐵路關(guān)基設(shè)施網(wǎng)絡(luò)安全保護(hù)等級(jí)應(yīng)當(dāng)不低于第三級(jí)，第十條增加應(yīng)采取檢測(cè)評(píng)估、安全演練等方式驗(yàn)證安全保護(hù)措施的有效性，第三十條明確了《辦法》實(shí)施時(shí)間。正文從細(xì)節(jié)描述、管理職責(zé)、防護(hù)要求等方面進(jìn)行了全面的細(xì)化。

內(nèi)容解讀

第一章 總則

明確本《辦法》的適用范圍，明確鐵路關(guān)基設(shè)施的定義，規(guī)定國(guó)家鐵路局負(fù)責(zé)鐵路關(guān)基設(shè)施安全保護(hù)和監(jiān)督管理，地區(qū)鐵路監(jiān)督管理局負(fù)責(zé)開(kāi)展本轄區(qū)鐵路關(guān)基設(shè)施的安全保護(hù)和監(jiān)督管理。

第二章 鐵路關(guān)基設(shè)施認(rèn)定

明確關(guān)基設(shè)施的認(rèn)定機(jī)制，國(guó)家鐵路局作為關(guān)基設(shè)施認(rèn)定的主體，負(fù)責(zé)制定認(rèn)定規(guī)則、組織認(rèn)定工作，并規(guī)定了具體認(rèn)定程序。

第三章 運(yùn)營(yíng)者責(zé)任和義務(wù)

明確運(yùn)營(yíng)者主體責(zé)任，規(guī)定關(guān)基設(shè)施的網(wǎng)絡(luò)安全等級(jí)保護(hù)不低于第三級(jí)，在等?；A(chǔ)上實(shí)行重點(diǎn)保護(hù)，采取措施，保障關(guān)基設(shè)施安全穩(wěn)定運(yùn)行。落實(shí)“三同步”，并對(duì)安全保護(hù)措施予以驗(yàn)證。建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入。設(shè)置專門安全管理機(jī)構(gòu)，明確職責(zé)。加強(qiáng)供應(yīng)鏈安全管理，保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)安全。加強(qiáng)個(gè)人信息和數(shù)據(jù)安全保護(hù)。每年至少一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)問(wèn)題、及時(shí)整改，報(bào)送相關(guān)情況。按規(guī)定使用商用密碼保護(hù)關(guān)基設(shè)施，每年至少開(kāi)展一次密評(píng)。制定本單位監(jiān)測(cè)預(yù)警和信息通報(bào)制度，及時(shí)通報(bào)預(yù)警和處置。發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)，及時(shí)報(bào)告并啟動(dòng)應(yīng)急預(yù)案。

第四章 保障和監(jiān)督

明確保障和監(jiān)督的職責(zé)和義務(wù)，明確國(guó)家鐵路局的保障和監(jiān)督職責(zé)，包括：制定鐵路關(guān)基安全規(guī)劃、建立鐵路關(guān)基網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警制度、建立健全鐵路關(guān)基網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案體系、組織開(kāi)展鐵路關(guān)基網(wǎng)絡(luò)安全檢查檢測(cè)等。

第五章 法律責(zé)任

明確有關(guān)違法行為及處罰規(guī)定。

第六章 附則

明示《辦法》正式施行時(shí)間。

基于天融信在網(wǎng)絡(luò)安全領(lǐng)域的積累與實(shí)踐，本文針對(duì)《辦法》中部分內(nèi)容要點(diǎn)形成相關(guān)策略參考，助力鐵路領(lǐng)域關(guān)基設(shè)施網(wǎng)絡(luò)安全建設(shè)規(guī)范化落地。

1、建立健全安全管理體系

《辦法》中要求，應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入。并設(shè)置專門安全管理機(jī)構(gòu)，履行相關(guān)職責(zé)。

天融信建議落實(shí)網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，確保人力、財(cái)力、物力得到有效保障。從管理制度、管理機(jī)構(gòu)、管理人員等方面構(gòu)建關(guān)基設(shè)施安全管理體系，確保安全技術(shù)和安全運(yùn)營(yíng)措施得以順利落地。

2、加強(qiáng)供應(yīng)鏈安全管理

《辦法》中指出，應(yīng)當(dāng)加強(qiáng)鐵路關(guān)基設(shè)施供應(yīng)鏈安全保護(hù)。

天融信建議通過(guò)供應(yīng)鏈安全現(xiàn)狀摸底，制定專門的供應(yīng)鏈安全管理策略和制度，以規(guī)范供應(yīng)鏈安全管理，尤其在網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)方面，需充分考慮當(dāng)前安全形勢(shì)，確保網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全可靠。同時(shí)建議通過(guò)供應(yīng)鏈安全教育培訓(xùn)，提升相關(guān)人員在供應(yīng)鏈安全層面的意識(shí)和技能。

3、實(shí)施個(gè)人信息和數(shù)據(jù)安全保護(hù)

《辦法》中要求，應(yīng)加強(qiáng)數(shù)據(jù)安全保護(hù)，明確重要數(shù)據(jù)和個(gè)人信息的保護(hù)措施。

天融信建議開(kāi)展數(shù)據(jù)安全治理咨詢，梳理數(shù)據(jù)資產(chǎn)情況，明確個(gè)人信息處理規(guī)則等，在評(píng)估現(xiàn)狀并分析安全風(fēng)險(xiǎn)的基礎(chǔ)上，提供針對(duì)性的個(gè)人信息安全保護(hù)和體系化數(shù)據(jù)安全保護(hù)。

4、開(kāi)展等級(jí)保護(hù)和商用密碼保護(hù)

《辦法》中提出，鐵路關(guān)基設(shè)施在國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，落實(shí)防護(hù)措施，并使用商用密碼進(jìn)行保護(hù)。

如《辦法》所要求，關(guān)基設(shè)施需在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上實(shí)行重點(diǎn)保護(hù)，并按照要求使用商用密碼進(jìn)行保護(hù)，因而符合等保和密評(píng)要求是關(guān)保的前提。建議遵照等級(jí)保護(hù)及密碼應(yīng)用相關(guān)要求落實(shí)等保和密評(píng)工作，為保護(hù)關(guān)基設(shè)施打下良好基礎(chǔ)。

5、開(kāi)展安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估

《辦法》中要求，鐵路關(guān)基設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。

天融信建議利用專業(yè)安全服務(wù)，每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，參考相關(guān)標(biāo)準(zhǔn)規(guī)范，全方位檢測(cè)和評(píng)估當(dāng)前存在的不足，積極發(fā)現(xiàn)問(wèn)題，及時(shí)整改以規(guī)避安全隱患，并按要求報(bào)送相關(guān)情況。

6、建立健全監(jiān)測(cè)預(yù)警和信息通報(bào)

《辦法》中指出，應(yīng)制定本單位的監(jiān)測(cè)預(yù)警和信息通報(bào)制度。

天融信建議建設(shè)本單位的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，廣泛收集各類安全數(shù)據(jù)，利用多種分析手段深度挖掘安全問(wèn)題，配備值班值守人員，全方位、全天候感知安全態(tài)勢(shì)，并及時(shí)收集、匯總、分析各方網(wǎng)絡(luò)安全信息，經(jīng)綜合分析研判，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行及時(shí)通報(bào)預(yù)警和處置。

7、落實(shí)應(yīng)急預(yù)案和應(yīng)急演練

《辦法》中要求，應(yīng)建立健全鐵路關(guān)基設(shè)施網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案體系，定期組織應(yīng)急演練。

天融信建議制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，明確事件應(yīng)急處置機(jī)制，并確保每年至少開(kāi)展一次應(yīng)急演練，針對(duì)演練中發(fā)現(xiàn)的突出問(wèn)題和漏洞隱患進(jìn)行及時(shí)整改加固，從而不斷完善保護(hù)措施。

《鐵路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》的出臺(tái)，將進(jìn)一步充實(shí)和完善我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的決策部署。天融信作為上市公司中成立最早的網(wǎng)絡(luò)安全企業(yè)，始終秉持“可信網(wǎng)絡(luò) 安全世界”的理念，緊跟時(shí)代發(fā)展與政策要求，在關(guān)鍵信息基礎(chǔ)設(shè)施安全等前沿領(lǐng)域持續(xù)推出自主創(chuàng)新產(chǎn)品和解決方案，為護(hù)航國(guó)家安全貢獻(xiàn)企業(yè)力量。